1. GuardZoo 通过 WhatsApp 攻击军事人员,窃取敏感数据
7月15日,一个与胡塞武装结盟的组织一直在部署名为 GuardZoo 的 Android 监控软件,利用社会工程学策略和军事主题诱饵诱骗受害者下载恶意软件,以针对中东的军事人员。GuardZoo 基于一种名为 Dendroid 的现有 RAT(远程访问木马),可让攻击者远程控制受感染的设备,从而实现数据泄露,并可能安装其他 恶意软件。该活动仍然活跃,并针对也门、沙特阿拉伯、埃及和阿曼的用户,谷歌已确认 Google Play 上目前没有受 GuardZoo 感染的应用程序。GuardZoo 是泄露的Dendroid RAT的衍生产品,它使用了用 ASP.NET 构建的自定义 C2 后端,而不是原来的 PHP 网络面板。GuardZoo 是一种 也门恶意软件,它通过使用自签名证书并使用 IIS 10 上的 ASP.NET 后端,利用在 YemenNet 注册的动态 DNS 域进行 C2 通信。感染设备后,GuardZoo 会建立连接并检索初始命令:上传在设定日期之后创建的特定地理位置文件(KMZ、WPT、RTE、TRK)、设置 15 分钟的错误重试窗口、禁用本地日志记录以及上传文件元数据。https://gbhackers.com/guardzoo-android-malware-attacks-military/
2. 药店巨头 Rite Aid 遭遇勒索软件 RansomHub 攻击
7月15日,Rite Aid 披露了一起“有限”的网络安全事件,成为最新一家成为勒索软件受害者的高街品牌。该公司在一份声明中表示,正在“完成”事件响应调查。Rite Aid 表示:“我们与第三方网络安全合作伙伴专家一起恢复了系统并已全面投入运营。”“我们非常重视保护个人信息的义务,这一事件是我们最优先考虑的问题。感谢您的耐心等待,直到我们可以提供更多信息。”根据 X(前身为 Twitter)上发布的截图,勒索软件组织 RansomHub 是此次事件的罪魁祸首。该组织在其泄密网站上发布消息称,它从药店获取了 10GB 的数据,相当于“4500 万行”客户个人信息。这些信息包括姓名、地址、身份证号码、出生日期、riteaid 奖励号码,”帖子继续说道。“谈判结束时,我们双方达成一致,他们突然停止了沟通。由此可见,Riteaid 领导层并不重视客户敏感信息的安全。https://www.infosecurity-magazine.com/news/rite-aid-hit-ransomware/
3. MuddyWater 黑客团伙部署新的 BugSleep 后门
7月15日,CPR 自 2019 年以来一直在追踪隶属于伊朗情报和安全部 (MOIS) 的伊朗威胁组织 MuddyWater。现在,自 2023 年 10 月以色列与哈马斯战争开始以来,该组织在以色列的活动显著增加。这些活动针对的是多个不同行业,从政府到旅行社和记者。大多数电子邮件都针对以色列公司,但其他一些则针对土耳其、沙特阿拉伯、印度和葡萄牙的组织。除了惯常的网络钓鱼活动(恶意部署合法的远程管理工具)之外,MuddyWater 还开始部署一种新的、之前未记录的后门。Check Point Research 将这种后门命名为 BugSleep,专门用于针对以色列的组织。BugSleep 是一种自 2024 年 5 月以来用于网络钓鱼诱饵的新恶意软件。Check Point Research 发现该恶意软件有多个版本正在传播。后门更新通常围绕恶意软件本身的改进和错误修复。https://blog.checkpoint.com/research/muddywater-threat-group-deploys-new-bugsleep-backdoor/
4. CRYSTALRAY 黑客利用网络映射工具感染超过 1500 名受害者
7月16日,此前观察到的威胁行为者使用开源网络映射工具大大扩展了他们的行动,感染了超过 1500 名受害者。Sysdig 正在以CRYSTALRAY为名跟踪该集群,它表示这些活动已经激增了 10 倍,并补充说其中包括“大规模扫描、利用多个漏洞以及使用多个 [开源软件] 安全工具放置后门”。攻击的主要目的是获取和出售凭证、部署加密货币矿工以及在受害者环境中保持持久性。大多数感染集中在美国、中国、新加坡、俄罗斯、法国、日本和印度等国家。威胁行为者使用的开源程序中,最突出的是SSH-Snake,它于 2024 年 1 月首次发布。它被描述为一种使用在系统上发现的 SSH 私钥进行自动网络遍历的工具。今年 2 月初,网络安全公司记录了CRYSTALRAY 滥用该软件的情况,在利用面向公众的 Apache ActiveMQ 和 Atlassian Confluence 实例中已知的安全漏洞后,该工具被部署用于横向移动。https://thehackernews.com/2024/07/crystalray-hackers-infect-over-1500.html
5. 研究团队发现攻击者利用 URL 保护来伪装网络钓鱼链接
7月16日,梭子鱼研究人员发现,网络犯罪分子正在滥用合法的 URL 保护服务来掩盖恶意网络钓鱼链接。该公司观察到网络钓鱼活动使用三种不同的 URL 保护服务来掩盖网络钓鱼 URL,并将受害者发送到旨在获取其凭证的网站。研究人员认为,迄今为止,这些活动已经针对了数百家公司,甚至更多。URL 保护服务旨在防止用户通过钓鱼链接访问恶意网站。每当电子邮件中包含 URL 时,该服务都会复制并重写,然后将原始 URL 嵌入重写的 URL 中。如果电子邮件收件人点击此“包装”链接,则会触发对原始 URL 的电子邮件安全扫描。如果扫描结果正常,则用户将被重定向到该 URL。如果扫描结果异常,则用户将被阻止进入原始 URL。在这些新颖的攻击中,威胁行为者通过被入侵的账户进入 URL 保护服务,并利用它来重写自己的网络钓鱼 URL,从而隐藏其恶意性质 - 本质上是将该服务转向自身。这样他们就可以冒充账户所有者,渗透和检查他们的电子邮件通信,以及从被入侵的账户发送电子邮件。这种策略被称为对话劫持。https://www.infosecurity-magazine.com/news/attackers-exploit-url-protections/
6. 恶意广告活动利用虚假 Microsoft Teams 广告诱骗 Mac 用户
7月14日,一项复杂的恶意广告活动针对搜索 Microsoft Teams 的 Mac 用户,凸显了 macOS 生态系统中恶意软件创建者之间的竞争日益激烈。此次最新攻击使用了 Atomic Stealer 恶意软件,紧随 Poseidon (OSX.RodStealer) 项目之后,表明影响 macOS 的威胁正在不断进步。这项恶意广告活动持续了数天,采用了先进的过滤技术来逃避检测。该广告出现在 Microsoft Teams 的顶级搜索结果中,其 URL 显示为 microsoft.com,但实际上通过一系列欺骗性链接将用户重定向。该广告很可能是由被盗的 Google 广告账户支付的。最初,该广告直接重定向到微软的网站,但经过多次尝试和调整后,终于发现了完整的攻击链。https://thecyberexpress.com/malvertising-campaign-lures-macos-users-teams/?&web_view=true
还没有评论,来说两句吧...